CVE-2026-33701 in opentelemetry-java-instrumentationИнформация

Сводка

по VulDB • 13.05.2026

OpenTelemetry Java Instrumentation предоставляет возможности автоматической и ручной инструментации OpenTelemetry для Java. В версиях старше 2.26.1 инструментация RMI регистрировала пользовательскую конечную точку, которая десериализовывала входящие данные без применения фильтров сериализации. В JDK версии 16 и более ранних версий злоумышленник, имеющий сетевой доступ к порту JMX или RMI в инструментированном JVM, мог использовать эту уязвимость для потенциального достижения удаленного выполнения кода (RCE). Для эксплуатации этой уязвимости должны быть выполнены все три следующих условия: во-первых, OpenTelemetry Java Instrumentation подключен в качестве Java-агента (`-javaagent`) в Java 16 или более ранних версиях; во-вторых, порт JMX/RMI явно настроен через `-Dcom.sun.management.jmxremote.port` и доступен по сети; в-третьих, на classpath присутствует библиотека, совместимая с цепочкой гаджетов. Это приводит к произвольному удаленному выполнению кода с привилегиями пользователя, запустившего инструментированный JVM. Для JDK >= 17 никаких действий не требуется, но настоятельно рекомендуется обновление. Для JDK < 17 обновитесь до версии 2.26.1 или более поздней. В качестве временного решения установите системное свойство `-Dotel.instrumentation.rmi.enabled=false`, чтобы отключить интеграцию RMI.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353793

EPSS

0.00933

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!